التخطي إلى المحتوى الرئيسي

مميزة

MITMProxy العقل الأسود

 العقل الأسود ما هي MITMProxy ؟ MITMProxy هي بيئة تشغيل كاملة مصممة لفكرة واحدة: التجسس  على حركة الاتصال بين أي جهاز وخدمة لمعرفة كل شيء يحدث داخل الـTraffic باختصار هي الأداة التي يستخدمها: مختبرو الاختراق المحترفون مهندسو الـ API محققو الجرائم الرقمية مطورو تطبيقات الموبايل وأي شخص يريد رؤية ما وراء الكواليس في العالم الرقمي MITMProxy ليست مجرد Proxy إنها: ✔ محلل ✔ متحكم ✔ معدّل ✔ لاعب داخل التيار وتستخدم في اختبار التطبيقات، كشف الثغرات، تحليل البروتوكولات، واستخراج البيانات في الزمن الحقيقي   لماذا MITMProxy هي أقوى أداة اعتراض بيانات؟   ✔ 1) تعترض HTTPS بالكامل مش مجرد HTTP بل تستطيع تكسير وتفكيك TLS وتشفيرات التطبيقات عبر MITM-CA الخاصة بها ✔ 2) تعدّل في الباكت قبل ما توصل للهدف تقدر: تغير الـ Headers تعدّل الـ Cookies تزود Auth Tokens تفبرك JSON تحقن Request تغير Response كأنك ماسك القلم اللي بيكتب الاتصالات بنفسك ✔ 3) واجهات متعددة واجهة CLI واجهة Web قوية دعم لـ MITMDump دعم لـ Python scripting modules Addons يمكنها التحكم في كل Packet ✔ 4) أ...
إرسال تعليق
قراءة المزيد
التسميات

عملية LandFall : البوابة الخفية عبر واتساب

 

LandFall  صورة واحدة تقلب الهاتف إلى جاسوس : عملية اختراق صامتة استهدفت مستخدمي سامسونج في الشرق الأوسط

عملية LandFall حملة تجسس متقدمة استخدمت ثغرة زيرو-داي في مكتبة معالجة الصور (libimagecodec.quram.so) على أجهزة سامسونج لإدخال برنامج تجسس متكامل عبر صور DNG مُعدَّة بخبث تُرسل عبر واتساب. الهجوم يتيح للمهاجمين تنفيذ شيفرة عن بُعد، رفع صلاحيات النظام، وجمع بيانات حسّاسة (ميكروفون، مكالمات، موقع، صور، رسائل)استهداف تركّز في العراق، إيران، تركيا، والمغرب. التتبع البنيوي والاسماء المستخدمة في الشيفرات يذكر أدوات تجسس تجارية—لكن لا يوجد ارتباط قاطع بمزوّد محدد
وصف الهجوم

  1. إرسال ملف صورة بصيغة .DNG عبر واتساب. الصورة تحتوي في نهايتها على أرشيف ZIP مُضمَّن

  2. عند معالجة الصورة، يستغل كود الصورة ثغرة CVE-2025-21042 (out-of-bounds write) في libimagecodec.quram.so لتنفيذ loader أولي داخل عملية نظام الصور.

  3. الـloader (b.so) يتصل بخوادم القيادة والسيطرة (C2) لتحميل وحدات إضافية مجزأة

  4. مكوّن آخر (l.so) يعدّل سياسات SELinux ويجسّد صلاحيات أعلى (persistence & privilege escalation)

  5. تحميل وحدات تجسس إضافية توفر تجميع بيانات: تسجيل ميكروفون، تسجيل مكالمات، تتبع موقع، استخراج ملفات وصور، قراءة رسائل/سجل المكالمات، وسجل التصفح

  6. آليات لإخفاء بقايا الحضور (anti-detection / persistence) وتجاوز آليات الحماية التقليدية

القدرات المكتشفة

  • تنفيذ شيفرات عن بُعد (RCE) عبر معالجة صورة مُحرفة

  • تغيير سياسات SELinux ورفع صلاحيات

  • تحميل وتشغيل وحدات إضافية ديناميكيًا

  • تجميع بيانات حساسة: IMEI, IMSI, رقم الشريحة، قوائم التطبيقات، صور، رسائل SMS، سجل المكالمات، سجل التصفح

  • تسجيل الميكروفون والمكالمات

  • تتبّع الموقع بدقّة

  • تقنيات لإخفاء التواجد والتحديثات عبر C2

دفاعات فورية

  1. عزل الجهاز عند الاشتباه (Network isolation)

  2. أخذ صورة ذاكرة (memory image) وتحليل وحدات .so المحملة

  3. جمع سجلات واتساب وملفات الوسائط المستقبلة، تحليل الـDNG بايت-بايت للكشف عن ZIP ملاحق

  4. تعديل سياسات MDM لمنع معالجة وسائط غير موثوقة تلقائيًا

  5. فحص شبكي للكشف عن اتصالات C2 المشبوهة وإغلاقها

  6. توصيات عملية للمؤسسات والمستخدمين

    للمستخدم العادي

    • حدّث نظام الهاتف وتطبيق واتساب فورًا

    • أوقف التحميل التلقائي للوسائط في واتساب (Settings → Data and Storage Usage → Media auto-download)

    • لا تفتح صورًا أو ملفات من مصادر مشبوهة حتى لو وصلت من جهة اتصال مألوفة دون تأكيد

    • فعّل خيارات الحماية المتقدمة في نظام Android (Play Protect, Advanced Protection).

    للمؤسسات وفرق الأمن

    • فرض تحديثات النظام عبر MDM على الفور لأجهزة سامسونج المتأثرة (S22, S23, S24, Z Fold4, Z Flip4)

    • تفعيل فحص معمّق على استقبال الوسائط داخل بيئة الاتصالات المؤسسية (proxy/secure gateway) لاكتشاف DNG مع ZIP ملاحق

    • نشر قواعد EDR/NGAV لاكتشاف تحميل مكتبات مشبوهة داخل عمليات نظام الصور

    • مراقبة سلوكيات التجسس (ميكروفون/مواقع/ملفات) وإعداد تنبيهات عالية للأذونات الاستثنائية

    • مراجعة قواعد SELinux والأنماط التي تسمح بتخفيف أو تعديل السياسات بشكل مفاجئ

التسميات:

تعليقات

إرسال تعليق

المشاركات الشائعة